У нас всегда есть хотя бы один подрядчик на месте, и, поскольку они задействованы в различных продуктах / технологиях, на их ПК необходимо установить различное программное обеспечение.
Это занимает много времени в поддержке и, по сути, является бесконечным потоком.
Предоставление им прав администратора позволит им выполнять эту работу самостоятельно.
Обратной стороной является то, что теперь у них есть право делать что угодно.
Как другие люди справились с этим?
Kia ORA. Ваши варианты:
(3) - это мой личный выбор - я даже не работаю как администратор на своих машинах. Есть кривая обучения, но в Windows 7 (и, вероятно, Vista) с UAC это намного проще. Хорошее место для начала - блог Аарона Марголиса без прав администратора.
Основным преимуществом того, что вы не выполняете роль локального администратора, является устойчивость к вредоносным программам и эксплойтам браузера. Это может быть возможным объяснить вашим пользователям - «Если вы сделаете это таким образом, вы не &% # your! Ваш компьютер» - большинство обычных пользователей все равно боятся что-то сломать.
Используйте виртуализацию.
Дайте тогда свою систему внутри системы.
Таким образом, все песочницы разработки независимы друг от друга и не могут мешать друг другу или операционной системе хоста.
У нас есть политика выжженной земли в отношении предоставления местного администратора. Вы получите местного администратора, если согласитесь не тратить время специалистов службы поддержки рабочего стола. По сути, вы что-то крутите, и ваша машина восстанавливается. Если технический специалист хорош, они потратят ДО 30 минут на рассмотрение вашей проблемы. Это действительно беспроигрышный вариант для нас, потому что люди, у которых есть локальный администратор обычно - это люди, которые хоть наполовину разбираются в компьютерах, и в конечном итоге им почти никогда не нужно звонить в службу поддержки настольных компьютеров из-за того, что они сделали (обычно это связано с оборудованием).
Мы основываем расходы на поддержку по категории клиентских устройств:
Пользователи ноутбуков платят больше, поскольку получают права локального администратора на своих машинах. Они понимают, что имеют больший риск сделать свои машины непригодными для использования по собственному желанию, поэтому поддержка таких устройств обходится дороже, чем замороженная машина, поскольку для этого потребуется больше времени на поддержку.
Мы поддерживаем множество различных групп пользователей с разными потребностями, поэтому клиенты делегировали права и могут назначать права администратора рабочей станции или локального сервера такому количеству (или небольшому количеству) людей, сколько им нужно.
Они могут только однако сделайте это в системе, которую мы настроили. Например:
Многие организации понимают, что пользователям необходимо иметь права локального администратора и позволить всем пользователям иметь локального администратора.
Похоже, что в данном случае это уместно, но вы можете попросить их подписать какую-то документацию о том, что они не будут устанавливать никакого программного обеспечения, кроме того, что находится в согласованном списке.
Вы также, вероятно, НЕ захотите давать им права администратора домена.
Вы беспокоитесь о том, чтобы дать людям больше прав администратора, потому что: а) они могут испортить свои собственные ПК или б) они могут испортить чужие из-за плохой гигиены в Интернете?
Если а), то я поддерживаю политику выжженной земли. Если они достаточно хорошие консультанты, чтобы вы могли их нанять, они должны быть достаточно хорошими, чтобы позаботиться о своей собственной рабочей среде.
Если б), то вам, вероятно, нужно искать для них какой-то карантин. Надеюсь, это единовременная вещь, когда более низкие расходы на поддержку в конечном итоге окупятся ...
Я лично большой поклонник ограничения учетных записей, которые входят в систему как неадминистраторы, но предоставления им возможности вызывать установки и т. Д. С помощью "беги как" команда.
Вы могли бы создать локального администратора на коробке, предоставив ему привилегии и позволив им использовать его для установки программ?
У нас всегда есть хотя бы один подрядчик на месте, и, поскольку они задействованы в различных продуктах / технологиях, на их ПК необходимо установить различное программное обеспечение. Это требует много времени на поддержку и, по сути, является бесконечным потоком. Предоставление им прав администратора позволит им выполнять эту работу самостоятельно. Обратной стороной является то, что теперь у них есть право делать что угодно. Как другие люди справились с этим?
У нас есть несколько контролируемая среда; хотя мы можем предоставить доступ опытному пользователю (которого обычно достаточно для выполнения), мы не предоставляем локального администратора; Фактически, локальный администратор считается функцией «предохранительного клапана» на тот случай, если нам нужно получить административный доступ к машине, а он не может (по какой-либо причине) получить аутентификацию домена.
Локальный администратор на большинстве машин - не слишком большая проблема, но вы не хотите отдавать права администратора домена, что открывает целый ящик проблем для Пандоры.
Многие из проблем с "локальным администратором", которые мы видели, возникли из-за плохо спроектированного программного обеспечения, которое, несмотря на почти десятилетие изменений на рабочем столе, все еще думает, что они работают в Windws 98 & Friends. Установщики программного обеспечения настаивают на том, чтобы вы предоставили эти права, потому что:
Если возможно, постарайтесь убедить подрядчиков принести все свое программное обеспечение сразу и устроить «праздник установки», чтобы вы могли пройти через это один раз и покончить с этим. Если они все время перетаскивают это-то-и-другое в эти системы, даже с правами администратора, это будет немного беспорядочно - будут ли это производственные системы в будущем? Записана ли где-нибудь последовательность установки и необходимые зависимости? Есть несколько оборванных концов, которые нужно связать, позволив им делать то, что они хотят.
Итак, да, если у вас нет проблем с проблемами безопасности, проблемами доверия, проблемами совместимости, и вы документируете вещи по мере необходимости, продолжайте и позвольте им выполнить установку локального администратора, используя пароль, отличный от всех из других.